В феврале 2025 года в ходе ежедневного мониторинга угроз аналитики компании F6 обнаружили ранее неизвестную прогосударственную группировку, которой было присвоено имя Telemancon.
Во время исследования инфраструктуры специалисты Threat Intelligence F6 установили, что самая ранняя активность группы датируется февралем 2023 года. Выявленные атаки, судя по содержимому документов-приманок, были направлены на российские организации в сфере промышленности. В частности, были зафиксированы две рассылки в адрес компаний из сферы машиностроения. Группа использует в атаках самописный дроппер и бэкдор, которым были даны имена соответственно TMCDropper и TMCShell.
Название APT-группы было выбрано на основе следующих уникальных для нее черт: «tele» — поскольку используемое ВПО TMCShell подключается к сервису https://telegra.ph для получения адресов C2; «man» — от слова «manufactory», поскольку основными целями являются промышленные организации; «con» — поскольку нагрузка во всех раскрытых на текущий день атаках сохраняется в папку %userprofile%Contacts.
В новом блоге эксперты Threat Intelligence компании F6 подробно разбирают обнаруженные рассылки, вредоносные программы группы и раскрывают техники и процедуры атакующих.
Источник: habr.com
Похожие новости:
Циклон угроз: эксперты F.A.C.C.T. назвали основные тренды вымогателей, утечек и фишинга в 2024 году
Карты биты: новая группа ReaverBits атакует российские компании
F6 назвала главные киберугрозы 2025 года — вышел подробный анализ хакерских групп, атакующих Россию и СНГ
Многоликий ransom: кто стоит за атаками вымогателей Nokoyawa и INC Ransom